Вымогатель 8Base, который существует более года, но обычно был практически незаметен, перешел к массовым атакам в мае и июне 2023 года, сообщают эксперты VMware Carbon Black. По информации исследователей, только в июне операторы малвари взломали более 30 малых предприятий.
8Base впервые попал в поле зрения исследователей в марте 2022 года, но после этого оставался практически неактивным. Ситуация изменилась в июне 2023 года, когда активность малвари резко возросла, и злоумышленники атаковали множество компании в самых разных отраслях. В общей сложности на сегодня 8Base скомпрометировала около 80 организаций в таких отраслях, как автомобилестроение, бизнес-услуги, строительство, финансы, здравоохранение, гостиничный бизнес, ИТ, производство и недвижимость.
На данный момент на сайте 8Base в даркнете перечислены 35 жертв, причем в некоторые дни группировка сообщала о взломе до шести компаний за раз. Это делает 8Base одним из самых активных вымогательских вредоносов последних месяцев.
Эксперты VMware Carbon Black полагают, что 8Base – это ребрендинг известной вымогательской группировки RansomHouse, которая ранее брала на себя ответственность за взлом компаний ADATA и AMD.
Исследователи видят связь между этими группами, основываясь на практически идентичных записках с требованием выкупа, а также на сходстве языка и содержимого сайтов хакеров (даже страницы FAQ, похоже, просто скопировали и перенесли с одного сайта на другой).
Основное различие между двумя вымогателями заключается в том, что RansomHouse открыто набирает партнеров, то 8Base — нет.
С технической точки зрения 8Base представляет собой кастомную версию малвари Phobos v2.9.1, которая загружается через SmokeLoader. Phobos — это ориентированная на Windows RaaS-малварь, которая впервые появилась в 2019 году, а ее код схож с вымогателем Dharma. В ходе шифровании вымогатель добавляет расширение .8base к пострадавшим файлам.
Еще одно интереснее открытие аналитиков VMware: 8Base использует домен admlogs25[.]xyz для размещения полезной нагрузки. Этот домен связан с прокси-малварью SystemBC, которую вымогательские группировки используют для обфускации C&C.
«Является ли 8Base ответвлением Phobos или RansomHouse, еще только предстоит выяснить. Интересно, что 8Base практически идентична RansomHouse, но использует вымогательское ПО Phobos. Этим летом 8Base стала одной из самых активных вымогательских групп», — резюмируют специалисты VMware.
